Soluzioni per l’autenticazione con HTTP
Pur essendo nato per consentire un accesso immediato e anonimo al WWW, il protocollo HTTP possiede uno schema per consentire al server di forzare l’autenticazione degli utenti che richiedono accesso a specifici contenuti (autenticazione del client).
Se abilitato, un Web Server può richiedere all’utente l’invio delle proprie credenziali prima di consentire la trasmissione degli oggetti relativi a una URL.
Il protocollo HTTP prevede che la fase di autenticazione sia avviata dal server quando il client richiede un oggetto che non può essere trasmesso liberamente.
Gli schemi disponibili per l’autenticazione HTTP sono due:
- Basic Access Authentication;
- Digest Access Authentication.
Il primo schema è stato introdotto contestualmente alla definizione dello standard HTTP/1.0, il secondo è stato aggiunto solo successivamente.
La scelta dello schema è a carico del Web Server.
Essa viene comunicata al client HTTP attraverso un messaggio di HTTP Response, con status-code uguale a 401 (Unauthorized).
L’intestazione del messaggio restituito deve contenere il campo WWW-Authenticate.
Il campo WWW-Authenticate permette al server di stabilire il tipo di autenticazione richiesta e di fornire una indicazione del contesto (realm) all’interno del quale saranno verificate le credenziali inviate.
Il campo WWW-Authenticate stabilisce, oltre allo schema prescelto (Basic/Digest), anche l’eventuale Challenge da utilizzare per confezionare la risposta.
